Cybersécurité des usines connectées : enjeux et bonnes pratiques pour protéger son outil de production

Dans une usine de plasturgie où j’intervenais récemment, le directeur de site me dit en début de visite : « Michel, notre plus gros risque, c’est un incendie sur la presse 500 tonnes ». Trois heures plus tard, on découvrait que les automates de trois lignes étaient accessibles… avec le mot de passe par défaut « admin/admin », depuis le réseau bureautique, et donc potentiellement depuis l’extérieur.

Ce décalage entre le risque perçu (très visible, très physique) et le risque réel (numérique, silencieux) est devenu courant. Avec les usines connectées, la cybersécurité n’est plus un sujet « informatique » ; c’est un sujet de disponibilité des moyens de production. En clair : une attaque réussie peut immobiliser vos lignes plus sûrement qu’une casse de réducteur ou une coupure électrique.

Pourquoi la cybersécurité devient un sujet d’atelier

La plupart des sites industriels sont en pleine transformation numérique : MES, GMAO, supervision à distance, capteurs IoT, interconnexion ERP/atelier, maintenance prédictive… Sur le papier, tout cela améliore l’OEE, la réactivité et la qualité. Mais chaque connexion supplémentaire est aussi un nouveau point d’entrée potentiel pour une attaque.

Ce qui a vraiment changé ces dernières années :

• Les systèmes OT (automatismes, SCADA, IHM) sont de plus en plus connectés au réseau de l’entreprise, voire à Internet.
• Les équipements anciens, non conçus pour être sécurisés, sont raccordés tels quels à des réseaux modernes.
• Les prestataires de maintenance se connectent à distance pour dépanner, souvent avec des accès très larges.
• Les attaques ne visent plus seulement les données, mais la continuité d’activité (ransomware bloquant la production).

Autrement dit : la cybersécurité est devenue une problématique de TRS, de délai de livraison et de pénalités clients. Pas un simple exercice de conformité ISO.

Ce que l’on risque vraiment dans une usine connectée

Dans l’imaginaire collectif, une cyberattaque, c’est un pirate à capuche qui vole des documents. Dans l’industrie, l’impact est plus terre-à-terre :

• Arrêt de production : chiffrement des serveurs de supervision, des postes de conduite, des bases de données recettes → lignes à l’arrêt, parfois pendant plusieurs jours.
• Dérive de process : paramètres modifiés sur un automate, setpoints altérés, règles de sécurité contournées → production non conforme voire dangereuse.
• Perte de traçabilité : bases de données de suivi lots, dossiers de fabrication ou enregistrements qualité inaccessibles → impossibilité de prouver la conformité.
• Fuite de données sensibles : plans, nomenclatures, recettes, paramètres de réglage, offres clients → avantage concurrentiel amoindri.
• Atteinte à la sécurité des personnes : modification de logiques de sécurité, désactivation de protections logicielles → accident possible sur machine.

Un cas concret : une PME agroalimentaire de 150 personnes, en France, a subi un ransomware. Les serveurs de l’ERP, du MES et de la GMAO ont été chiffrés dans la nuit. Résultat :

• 3 jours de production au ralenti, pilotage « papier-crayon ».
• Perte de traçabilité précise sur certains lots (obligation de détruire par prudence).
• Décalage de livraisons majeures, pénalités contractuelles.

Et tout cela parce qu’un poste de supervision n’avait pas été mis à jour et servait de porte d’entrée.

À retenir : la question n’est plus « est-ce qu’on est une cible ? » mais « jusqu’où on peut encaisser un incident sans mettre l’outil de production à genoux ? ».

Les principales faiblesses que l’on retrouve sur le terrain

Sur la dizaine de sites industriels que je vois chaque année, les mêmes faiblesses reviennent :

• Réseaux IT et OT mélangés : un même VLAN dessert les bureaux et les automates. Un mail piégé ouvert au service compta peut finir par impacter la ligne d’assemblage.
• Mots de passe par défaut : automates, IHM, routeurs, switchs d’atelier jamais reconfigurés. Tout est en admin/admin ou 0000.
• Accès distants sauvages : box 4G, routeurs VPN de prestataires, PC d’atelier avec TeamViewer permanent, mots de passe partagés entre plusieurs intervenants.
• Postes d’atelier obsolètes : Windows XP ou 7 non patchés, antivirus inexistants ou expirés, pas de cloisonnement réseau.
• Sauvegardes inexistantes ou inutilisables : pas de sauvegarde des automates, ou sauvegardes stockées sur le même réseau que le reste, donc aussi chiffrées en cas d’attaque.
• Responsabilités floues : l’IT pense que l’atelier gère, l’atelier pense que l’IT s’en occupe. Au final, personne n’a une vue globale de l’exposition au risque.

Le message clé : tant que l’on reste dans le flou sur « qui est responsable de quoi » entre IT et production, on laisse la porte ouverte.

Les bonnes pratiques de base, adaptées à l’atelier

Pas besoin de partir tout de suite sur une solution cyber industrielle à six chiffres. Avant de parler de technologie, il y a dix bonnes pratiques, simples sur le papier, qui réduisent déjà fortement le risque.

1. Segmenter les réseaux IT et OT

L’objectif : empêcher qu’un incident bureautique se propage à l’atelier.

• Créer un réseau dédié pour les équipements industriels (automates, IHM, robots, capteurs).
• Limiter les échanges entre réseaux via des pare-feu configurés (accès uniquement aux flux nécessaires : MES, supervision, etc.).
• Isoler autant que possible les équipements les plus critiques ou les plus anciens.

2. Traiter les accès distants comme des interventions physiques

Un prestataire qui se connecte à distance, c’est l’équivalent d’un intervenant en atelier sans badge ni consignation.

• Centraliser et maîtriser tous les accès distants (VPN d’entreprise, bastion, portail unique).
• Suppression des outils installés « en douce » (TeamViewer perso, AnyDesk, etc.).
• Accès temporaires, tracés, avec compte nominatif, et non un mot de passe partagé.

3. Gérer sérieusement les mots de passe

Ce n’est pas glorieux comme action, mais c’est terriblement efficace.

• Changer tous les mots de passe par défaut des équipements connectés.
• Mettre en place des mots de passe individuels pour les comptes sensibles (administration, supervision, accès distants).
• Limiter l’usage des comptes « administrateur » au strict nécessaire.

4. Mettre à jour ce qui peut l’être… en tenant compte des contraintes de production

Dans l’OT, on ne peut pas patcher un automate en pleine série. Mais on peut professionnaliser la gestion des mises à jour :

• Recenser les équipements pouvant être mis à jour sans risque (serveurs, postes opérateurs récents, etc.).
• Définir des fenêtres de maintenance pour appliquer les correctifs importants.
• Documenter ce qui n’est pas à jour et pourquoi (incompatibilité, obsolescence), afin de prioriser les remplacements.

5. Organiser des sauvegardes réellement opérationnelles

Une bonne sauvegarde, c’est :

• Les programmes automates, les configurations d’IHM, les recettes critiques stockés ailleurs que sur la machine.
• Des sauvegardes régulières des serveurs (MES, GMAO, ERP) avec une copie isolée (déconnectée ou hors ligne).
• Un test de restauration au moins une fois par an pour vérifier que tout fonctionne.

6. Clarifier qui décide quoi entre IT et production

Il ne s’agit pas de transformer les automaticiens en experts cybersécurité, mais de partager clairement les rôles :

• Responsabilité de l’architecture et des règles générales : DSI / IT.
• Connaissance des contraintes process et des équipements : méthodes, maintenance, BE, production.
• Décisions prises en commun sur les projets impactant l’atelier (nouvelle machine, nouveau système).

Un plan d’action en 5 étapes pour protéger son outil de production

Pour ceux qui aiment les approches structurées, voilà une manière pragmatique de lancer la démarche, sans transformer l’usine en laboratoire d’essai.

Étape 1 : Faire un état des lieux ciblé

Pas besoin d’audit de 200 pages. Concentrez-vous sur quatre points :

• Quels sont les flux entre l’IT et l’OT (MES, ERP, télésurveillance, accès distants) ?
• Quels sont les équipements critiques (ligne goulot, utilités, sécurité) et comment sont-ils connectés ?
• Quels sont les accès distants existants (prestataires, télémaintenance, postes nomades) ?
• Quel est le niveau de sauvegarde actuel sur les automates et serveurs de production ?

Objectif : obtenir une carte simplifiée qui permette de répondre à la question « si ceci tombe, qu’est-ce qui s’arrête ? ».

Étape 2 : Traiter les « quick wins » à faible coût

Typiquement en 2 à 3 mois, on peut déjà :

• Changer les mots de passe par défaut des principaux équipements.
• Supprimer les outils de prise en main à distance non maîtrisés.
• Mettre en place une procédure de sauvegarde des automates les plus critiques.
• Séparer logiquement (VLAN) au moins une partie du réseau OT du réseau bureautique.

Étape 3 : Sécuriser les nouveaux projets plutôt que tout refaire

C’est plus rentable d’intégrer la cybersécurité dès la conception des prochaines lignes que de tout reprendre en brownfield.

• Intégrer des exigences de cybersécurité dans les cahiers des charges fournisseurs (segmentation, journalisation, gestion des accès, mises à jour).
• Vérifier systématiquement les accès distants prévus par les OEM.
• Prévoir les sauvegardes et restaurations dès l’installation.

Étape 4 : Mettre en place un minimum de supervision et d’alertes

Sans tomber dans la SOC 24/7, quelques indicateurs simples peuvent déjà aider :

• Journalisation des connexions à distance et des actions critiques.
• Surveillance des flux inhabituels entre IT et OT (avec l’aide de la DSI ou d’un prestataire).
• Alertes en cas de changement de configuration non autorisé sur des équipements clés.

Étape 5 : Préparer la gestion de crise « comme si ça allait vraiment arriver »

En maintenance, on prépare des plans de secours pour une casse majeure. Ici, c’est pareil :

• Documenter les actions d’urgence : qui débranche quoi, qui contacte qui, quelles priorités de redémarrage.
• Tester un scénario simple : « un serveur de supervision est indisponible, comment on produit pendant 24 h ? ».
• Prévoir en amont les contacts critiques (intégrateurs, fournisseurs, prestataires cybersécurité).

Former les équipes sans les transformer en experts sécurité

La meilleure technologie ne compensera jamais un opérateur qui branche une clé USB trouvée sur le parking dans le PC d’atelier. Mais il ne s’agit pas non plus de faire peur à tout le monde avec des slides anxiogènes.

Une sensibilisation efficace en milieu industriel, c’est :

• Des exemples concrets proches du métier : arrêts de lignes, commandes clients en retard, lots détruits.
• Des consignes simples, clairement expliquées : pas de logiciels installés sans validation, pas de clé USB inconnue, vigilance sur les mails suspects.
• Des rappels réguliers, intégrés aux réunions sécurité ou 5 minutes qualité.

Pour les automaticiens, techniciens méthodes et maintenance, on peut aller un peu plus loin :

• Bonnes pratiques de configuration des automates et IHM (mots de passe, sauvegardes, segmentation).
• Réflexes à avoir lors d’une intervention suspecte (machine qui se comporte de manière anormale, connexion distante imprévue).
• Coordination avec l’IT : qui alerter, comment tracer un incident.

Et les normes, dans tout ça ?

On entend de plus en plus parler d’ISO 27001, d’IEC 62443, de NIS2, de référentiels sectoriels… Faut-il les appliquer tous ?

Mon point de vue d’ancien responsable de production est simple :

• Les normes sont utiles pour structurer la démarche et dialoguer avec les donneurs d’ordres.
• Mais courir après un label sans avoir sécurisé les bases (segmentation, sauvegardes, accès distants) n’a pas beaucoup de sens.
• Les exigences clients (automobile, aéronautique, pharmaceutique…) iront de plus en plus vers des preuves de maîtrise du risque cyber.

Pour une PME industrielle, un bon compromis peut être :

• S’inspirer des principes de l’IEC 62443 côté OT (sans forcément viser la certification).
• Aligner les pratiques IT sur un socle ISO 27001 allégé.
• Se concentrer en priorité sur la continuité d’activité : « comment je redémarre vite et proprement après un incident ? ».

À retenir : mieux vaut une démarche réaliste et appliquée sur le terrain qu’un référentiel impeccable dans un classeur.

Ce que ça change concrètement pour l’entreprise

Sur le plan opérationnel :

• Moins de risques d’arrêt de production massif lié à un incident numérique.
• Des interventions de maintenance (locale ou distante) plus maîtrisées et mieux tracées.
• Une plus grande confiance des clients, notamment dans les secteurs régulés.

Sur le plan organisationnel :

• Un dialogue renforcé entre IT, production, maintenance, méthodes et qualité.
• Une meilleure connaissance de son parc industriel connecté (qui est souvent une découverte en soi).
• Une montée en maturité sur la gestion des risques, au même titre que la sécurité ou la qualité.

Et, très concrètement, moins de nuits blanches à redémarrer des lignes en urgence parce qu’un simple PC infecté a tout fait basculer.

En synthèse : la cybersécurité dans les usines connectées n’est pas un gadget ni une mode managériale. C’est une nouvelle dimension de la fiabilité et de la disponibilité de l’outil de production. En posant quelques fondations solides – segmentation, gestion des accès, sauvegardes, gouvernance claire entre IT et atelier – on réduit drastiquement le risque sans exploser les budgets. Le reste n’est qu’une question de priorisation et de discipline… exactement comme pour n’importe quel chantier d’amélioration continue.

Michel